TANTANGAN IMPLEMENTASI & ISU AUDIT

Anwar Siregar

SNI ISO 27001

TANTANGAN IMPLEMENTASI & ISU AUDIT

SNI ISO 27001

APA SNI ISO 27001

Sistem Manajemen Pengamanan Informasi

Merupakan bagian dari keselurahan sistem manajemen, berdasarkan pendekatan risiko bisnis, untuk menetapkan, menerapkan, mengoperasikan, memantau, meninjau, memelihara dan memperbaiki pengamanan informasi

APA PENGAMANAN INFORMASI

Insert Footer Here 4

SNI ISO 27001 mendefenisikan pengamanan informasi sebagai suatu tindakan pemeliharaan

• Confidentiality / Kerahasiaan : informasi dibuat tidak tersedia atau terbongkar terhadap individu, kelompok ataupun proses

• Integrity / Keutuhan : menjaga kelengkapan dan keutuhan informasi

• Availability / Ketersediaan : dapat di akses dan digunakan sesuai permintaan oleh entitas yang berhak terhadap informasi

APA INFORMASI

Insert Footer Here 5

Informasi merupakan suatu data yang memiliki nilai terhadap organisasi

Jenis/Bentuk Informasi

• Kertas

• Hard disk, usb/flash disk

• Gambar

• Video

• Rekaman percakapan

• dll

STRUKTUR SNI ISO 27001

Insert Footer Here 6

0 Pengenalan

1 Ruang Lingkup

2 Referensi

3 Term dan defenisi

PERENCANAAN – 4,5,6,7

• Kebijakan

• Sasaran Pengamanan informasi

• Sumber Daya (Manusia, Teknologi , Keuangan)

• Methodology Risk Assessment

• Komunikasi

PELAKSANAAN - 8

• Risk Assessment

• Risk Threatment Plan

PEMERIKSAAN - 9

• Monitoring, Pengukuran, Analisa dan Evaluasi

• Internal Audit

• Tinajauan Manajemen

TINDAK LANJUT - 10

• Perbaikan berkelanjutan

Establish(PLAN)

Monitor & Review(CHECK)

Maintain & Improve(ACT)

Implement & Operate(DO)

SOA –ANNEX A

Insert Footer Here 7

14 Kalusul Pengamanan

35 kategori pengamanan

114 kontrol

8

• Sistem Elektronik adalah serangkaianperangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/ataumenyebarkan Informasi Elektronik

• Penyelenggaraan Sistem Elektronik adalahpemanfaatan Sistem Elektronik olehpenyelenggara negara, Orang, BadanUsaha, dan/atau masyarakat

RUANG LINGKUP SNI ISO 27001

RUANG LINGKUP SNI ISO 27001

9

Contoh : LPSE

• Perangkat Lunak

• Organisasi

• SDM

• Lokasi

• Tata kelola

• Data Center

• etc

Data Center

Kepegawaian

Pengadaan

Outsourcing

Legal

Biro Umum

Internal Audit

STATEMENT OF APPLICABILITY

10

SNI 27001:2013 Annex A controls

Current

controls

Remarks (with

justification for

exclusions)

Selected controls and reasons for selection

Remarks (overview of

implementation)

LR COBR/BP

RRA

Clause Sec Control Objective/Control

5 Security Policies

5,1Management direction for information security

5.1.1 Policies for information

5.1.2Review of the policies for information security

6 Organisat

ion of informati

on security

6,1 Internal organisation

6.1.1Information security roles and responsibilities

6.1.2 Segregation of duties

6.1.3 Contact with authorities

6.1.4Contact with special interest groups

6.1.5Information security in project management

6,2 Mobile devices and teleworking

6.2.1 Mobile device policy

6.2.2 Teleworking

Contoh SoA di LPSE

Not Applicable

• A.14.2 Security in development and support process

TANTANGAN IMPLEMENTASI

11

Komitmen dan

Dukungan Pimpinan

Meningkatkan Kesadaran

dan Membangun

Budaya Pengamanan

Menerapkan Pendekatan

Implementasi SNI ISO 27001

Secara Sistematis

Memastikan Perbaikan

Berkelajutan dari SNI ISO

27001

TANTANGAN IMPLEMENTASI

1. MANAJERIAL

• Dalam menerapkan SMPI pada organisasi dibutuhkan suatu KOMITMEN dari MANAJEMEN khususnya pada tim manajemenyang terlibat dalam ruang lingkup penerapan SMPI

• Kurangnya komitmen dari manajemen merupakan faktor utama penyebab kegagalan implementasi SMPI

Solusi:Menetapkan kebijakan yang disahkan oleh manajemen terkait penerapan SMPI

12

13

TANTANGAN IMPLEMENTASI

Kepemimpinan dan komitmen ditunjukkan dengan:

a. Memastikan adanya tujuan keamananinformasi yang selaras dengan arahan strategisorganisasi;

b. Memastikan integrasi prasyarat SMKI denganproses (bisnis) organisasi;

c. Memastikan tersediannya sumber daya yang dibutuhkan SMKI;

e. Mendorong perbaikan yang berkesinambungan;

f. Mendukung peran manajemen untukmenunjukkan kepemimpinannya, terkaitkeamanan informasi, pada area tanggungjawabnya masing-masing.

TANTANGAN IMPLEMENTASI

2. SUMBER DAYA MANUSIA

• Kurangnya pemahaman serta kompetensi pegawai untuk mendukung penerapan SMPI

• Kurangnya jumlah personil yang dapat berakibat setiap personil harus melakukan beberapa pekerjaan secara bersamaanuntuk menunjang penerapan SMPI

• Terbatasnya sosialisasi terhadap penerapan SMPI sehingga kurangnya kesadaran personil terhadap implementasi yang dilakukan.

• Tidak adanya personil yang ahli dibidang pengamanan informasi sehingga penerapan yang dilakukan tidak practical danpengendalian yang ada sulit untuk diterapkan oleh organisasi.

Solusi:Mengadakan Awareness dan training terkait SNI ISO27001 untuk meningkatkan pemahaman serta kompetensipegawai dalam mendukung penerapan SMPI.

Insert Footer Here 14

TANTANGAN IMPLEMENTASI

3. Budaya Organisasi

• Budaya organisasi dapat menjadi penghambat dalam melakukan penerapan SMPI

• Akan muncul resistensi/penolakan terhadap perubahan atau penambahan kegiatan-kegiatan baru sepertipenerapan SMPI ini. Hal ini dapat menjadi potensi terhadap kegagalan penerapan SMPI

Solusi:Pada beberapa organisasi, kendala diatas dapat diatasi memasukan proses penerapan SMPI ke dalam sasaranpenilaian kinerja (KPI) tim atau personil untuk mendukung terlaksananya penerapan tersebut.

15

TANTANGAN IMPLEMENTASI

4. Organisasi

• Kurangnya tingkat kematangan organisasi dalam mengelola proses bisnis/kegiatan dapat menjadipenghambat proses penerapan karena belum secara jelas menetapkan tugas dan tanggung jawabpekerjaan (tupoksi)

• Perubahan terhadap struktur organisasi dapat menjadi faktor penghambat penerapan SMPIkhususnya ketika terjadi perubahan struktural pada saat proses implementasi telah berjalan

Solusi:Menetapkan tupoksi berdasarkan fungsi yang ada pada SNI ISO27001 dan terdokumentasi secara lengkap agar permasalahan proses tidak akan mempengaruhi ataupun menghambat implementasi SMPI

Insert Footer Here 16

TANTANGAN IMPLEMENTASI

5. Teknologi

Kurangnya perangkat teknologi informasi dan komunikasi yang mendukung dapat menjadi faktor penghambatpenerapan SMPI akibat kurang akuratnya estimasi dan pengelolaan anggaran yang telah direncanakan untukmendukung proses penerapan SMPI

Solusi:Melakukan identifikasi kebutuhan dan penganggaran kembali sesuai dengan kebutuhanorganisasi

Insert Footer Here 17

18

1. Evaluasi Gap terhadap SNI ISO 270012. Membentuk forum, menentukan peran dan tanggung

jawab 3. Merencanakan pengembangan SMPI – program, jadwal

, tenggat waktu, pic4. Menetapkan Ruang Lingkup5. Kebijakan pengamanan informasi, tujuan, prinsip dasar,

pendekatan dan kriteria 6. Daftar inventaris asset organisasi dan menentukan

pemilik dari setiap aset7. Metode penilaian resiko8. Tingkat resiko9. Penilaian resiko10. Validasi hasil penilaian resiko11. Kontrol dan Risk Treatment Plan

TAHAPAN IMPLEMENTASISNI ISO 27001

19

12. Statement of Applicability 13. Pengukuran efektivitas SMPI – Kriteria Pengukuran14. Dokumentasi SMPI dan implementasi15. Implementasi dan pemantauan Risk Treatment Plan16. Internal audits17. Business Continuity Management18. Pengelolaan insident pengamanan informasi19. Sosialisasi dan pengenalan terhdapa isu isu seputar

pengamanan informasi20. Monitoring kontrol SMPI21. Mengumpulkan rekaman implementasi22. Menentukan efektifitas penerapan SMPI23. Tinjauan Manajemen

TAHAPAN IMPLEMENTASI SNIISO 27001 - LANJUTAN

SOLUSI EFEKTIF IMPLEMENTASI

20

Sediakan sumber daya yang di butuhkan

Mendefenisikan dengan jelas ruang lingkup , sasaran dan manfaat dari SMPI

Manajemen Role Model

Pimpinan menyetujui dan mendukung penerapan SMPI

Menugaskan PIC SMPI dan menetapkan tugas, tanggung jawab dan wewenang

BERKOMUNIKASI KEPADA SEMUA PIHAK YANG BERKEPENTINGAN

ISU AUDIT PIHAK KETIGA

21

• Akses kontrol tidak digunakan secara konsisten

• Password di tulis di monitor desktop / note book

• Visitor masuk ke area kerja tanpa identifikasi

• Meninggalkan meja kerja tanpa mematikan / mengunci layar monitor

• Meninggalkan informasi terbatas tanpa pengawasan

• Akses karyawan yang mutasi tidak berubah

• Akses karyawan yang sudah pensiun dan resign masih aktif

• Kontrak dengan pihak ketiga maupun dengan karyawan outsourced

• Akses karyawan yang mutasi tidak berubah

• Akses karyawan yang sudah pensiun dan resign masih aktif

• Internal Audit tidak dilakukan menyeluruh sesuai ruang lingkup (*khususnya multi site , sering kali hanya sampling)

• Penggunaan CCTV hanya sebatas aksesoris tanpa melihat kebutuhan berdasarkan resiko

• Back Up data tidak di test, hanya sebatas di back up

• Pengunjung data center tidak tercatat dan terdata, dikarenakan sudah ditemani ketika masuk ke data center

Application /New Contract

Stage 1Audit

Stage 1 Audit Report

Submitted

Pre-Audit

CorrectiveAction

Stage 2Audit

CorrectiveActions

Follow-up audit

6/12-monthlysurveillance

CorrectiveActions

Follow-up audit

major 3 year

Y

Recertification Audit

Min. 3 weeks before audit

OPTIONAL

major

Max.3 months

N

Y Y

Max.3 months

Company

PROSES SERTIFIKASI SNI ISO 27001